La ingeniería social se basa en engañar a los usuarios legítimos para acceder a datos que puedan servir para otros fines al atacante.
Es relativamente sencillo fácil engañar a alguien si se gana primero la confianza de la víctima.
En la actualidad uno de los tipos de ataque más extendidos se producen por Ingenieria Social.
Son ataques muy dirigidos y personalizados. En ellos los ciberdelincuentes investigan en detalle al objetivo y su entorno.
Aprovecha que el usuario es el eslabón más débil, para manipularlo y hacer que revele información sensible o que realice alguna acción no permitida.
Siempre debemos desconfiar de las intenciones de otros usuarios y más cuando nos pidan revelar información personal. Facilitar datos como nuestra fecha de nacimiento, puede parecer insignificante. Sin embargo, el atacante primeramente se dedicará a recopilar información personal nuestra para construir un perfil a su alrededor que por sus detalles, nos genere confianza automáticamente.
Para comprender este fenómeno, debemos tener en cuenta que este tipo de ataques aborda tanto los entornos tradicionales(equipos y portátiles que se encuentran dentro de la red corporativa), como dispositivos móviles.
Son ampliamente utilizados por los usuarios en entornos wifi no protegidos, redes sociales, etc.
Por lo tanto, nos encontramos ante un escenario complejo.
¿Qué tienen en común los ataques por Ingenieria Social?
Por lo general nos solicitan algo de valor: como dinero, numero tarjetas de crédito o datos bancarios, identificadores o claves de acceso, permiso para acceder en remoto a tu equipo o dispositivos móviles.
Quieren mantener el tema del asunto en privado para evitar que alguien pueda alertarte que es un engaño.
Te meten prisa para evitar que empieces a sospechar.
Suelen asumir figuras de cierta autoridad o prestigio: Organismos públicos, grandes empresas, la policía, etc
¿Cómo funciona la ingeniería social? ¿Cuáles son las tácticas más utilizadas?
Phishing
Los correos electrónicos de phishing son una de las tácticas más utilizadas en la actualidad.
Se suele utilizar la suplantación de identidad a través de correos electrónicos anuncios. También simulan sitios web parecidos a los que ya utilizas.
Casos de Phishing reales son, por ejemplo, recibir un correo electrónico que parece enviarlo tu banco solicitando que confirmes el número de tu cuenta bancaria. Un mensaje alertando de un problema con la Seguridad Social… seguro que alguna de estas situaciones, te es familiar.,
O recibir un correo de un directivo de la empresa pidiéndote que realices en secreto una transferencia urgente a una cuenta offshore (Ver Fraude del CEO)
Vishing
En el Vishing, los métodos son similares a los descritos en el Phishing.
De hecho su finalidad es exactamente la misma.
La diferencia es que este utiliza una llamada telefónica en lugar de un correo electrónico o un sitio web falso.
Por ejemplo: los delincuentes utilizan voz automatizada, muy similar a las utilizadas por los bancos o las operadoras. Llaman aleatoriamente a algunos números. A la persona que atiende la llamada le piden el número de cuenta, de tarjetas de crédito, su fecha de caducidad, claves o nombre de usuarios. Con la excusa de que su tarjeta se está usando de forma fraudulenta o cualquier otro argumento. Le facilitan un número de teléfono al que llamar y verificar los datos.
La técnica del USB olvidado o «dropping»
El atacante deja olvidado una memoria USB a propósito. Ésta tiene un malware que se autoinstala y e infecta cualquier equipo donde lo conectemos.
¿Hasta donde crees que conduce la curiosidad? ¿Usarías un pendrive USB que te encontraras por la calle? Cuidado con el software malicioso que pueden contener.
Este famoso experimento arroja interesantes conclusiones de como se deben revisar algunas políticas de seguridad…
Tailgating
Aquí el atacante obtiene acceso no autorizado a un área restringida (como oficinas o centros de datos).
Utilizan el descuido o engañando al personal autorizado de ese lugar.
Parece como de película, pero este tipo de ataques se producen y suelen ser bastante efectivos.
Por ello, conviene adoptar medidas de seguridad para evitar obtener acceso físico no autorizado a nuestras instalaciones.
Las más populares son el uso de tarjetas de proximidad, torniquetes de acceso individual. También sensores que detecten múltiples personas, controles biométricos, cámaras con reconocimiento facial, mantraps…
¿Cómo detectar posibles ataques de ingeniería social y cómo actuar ante ellos?
El uso de la ingeniería social es la técnica de malware de mayor propagación hoy en día.
La estrategia para abordar este tipo de problemática pasa necesariamente por la concienciación y la sensibilización continua de nuestro el personal.
Es necesario también involucrar también a nuestros clientes y proveedores.
Si queréis fomentar entre empleados y colaboradores unas buenas prácticas en materia de seguridad, puede seros útil este kit de concienciación de INCIBE.
¿Estáis interesados en mejorar la seguridad de vuestro negocio o empresa?
tecnozero es especialista en soluciones de seguridad adaptadas a la pequeña y mediana empresa: endpoints y servidores, firewalls corporativos, cifrado, dispositivos móviles y mucho más.
Esta página web utiliza cookies. ¿Las aceptas?AceptarLeer más
Cookies & Política de Privacidad
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
